Infothek - DS-Quadrat

Am 20.03.2022 fand eine Änderung des § 28b IfSG statt. Die nun alte Fassung wurde stark eingekürzt. So wurde § 28b Abs. 3 IfSG beispielsweise komplett gestrichen. Aus diesem ging die Pflicht für alle Arbeitgeber sowie Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen hervor, dass die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 Absatz 2 Satz 1 (Zutritt nur mit bestimmtem „G-Status“) durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren sind. Dies bedeutet folglich, dass seit dem 20.03.2022 die Information über das Vorliegen eines konkreten Nachweises und dessen Gültigkeitsdauer nicht mehr aufgrund des § 28b IfSG erhoben und gespeichert werden darf. Eine Rechtsgrundlage für diese Verarbeitung personenbezogenen Daten besteht aus datenschutzrechtlicher Sicht daher nicht mehr.

Nun hat sich die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) in der Pressemeldung vom 19.04.2022 zu diesem Thema geäußert und Unternehmen dazu aufgefordert zu prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Wenn diese Maßnahmen und damit der Zweck der Datenverarbeitung weggefallen seien, müssen die Daten dringend gelöscht werden. Sie kündigte zudem an: „Ich behalte mir vor, hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen.“

Zwar hat sich bisher erst die LfD Niedersachsen hierzu geäußert. Es ist jedoch nicht unwahrscheinlich, dass in naher Zukunft auch weitere Aufsichtsbehörden diesbezüglich aktiv werden. Es empfiehlt sich daher, zu prüfen, ob in Ihrem Unternehmen noch personenbezogene Daten, die aufgrund der alten Version des IfSG erhoben hoben wurden (z.B. 3G-Kontrolle zur Zutrittskontrolle zum Arbeitsplatz), gespeichert sind. Sofern dies der Fall ist und der Zweck der Verarbeitung aufgrund der Änderung des IfSG nun entfallen ist, raten wir dazu, diese Daten unverzüglich zu löschen.

Die Pressemitteilung vom 19.04.2022 sowie ein Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zur Verarbeitung personenbezogener Daten im Zusammenhang mit der einrichtungsbezogenen Impfpflicht vom 13.04.2022 finden Sie hier:

Erschienen am 22. September 2020

Die Reihe der Datenskandale in der Gesundheitswirtschaft reißt nicht ab: Immer wieder werden in den Kellern oder auf den Dachböden stillgelegter Krankenhäuser oder Arztpraxen alte Patientenakten entdeckt. Die Gesetze sind eindeutig, die Verfahren zum Umgang mit alten Akten noch nicht.

Thomas Spaeing, Datenschutzpionier und Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V., fordert mehr Fokus auf die Archive von Kliniken: „Bevor Fremde prüfen, ob alle alten Akten sicher geborgen wurden, sollte man den Rat von erfahrenen Datenschützern einholen, wie damit umzugehen ist.“

Die Aufbewahrungsfristen für Patientenakten sind lang: 10 Jahre im Minimum, 30 Jahre im Maximum. Solange können Patienten Ansprüche bei Behandlungsfehlern gegen die behandelnden Ärzte geltend machen. Um dieses Recht zu schützen und Patientenakten dauerhaft sicher zu verwahren, empfehlen wir vor einer Klinikschließung die Patientenakten auszulagern. Die Akten könnten beispielsweise in die Obhut der Nachbarklinik oder in eine andere Klinik eines Verbunds übergeben werden. Notfalls können auch die Gesundheitsämter bei den Kreisen eine Verwahrung anordnen.

Da wir mit unserem ds²-Team unter anderem auch große Krankenhauskonzerne betreuen, hoffen wir, dass es bald gelingt, das Bewusstsein hinsichtlich des Datenschutzes zu erhöhen, sodass Datenschutzverletzungen aufgrund nicht gesicherter Patientenakten in Klinik-Ruinen und verlassenen Arztpraxen zur Vergangenheit gehören. Denn unter den entstandenen Imageschäden in dieser Branche haben auch jene in der Gesundheitswirtschaft zu leiden, die achtsam und rechtskonform mit den Daten ihrer Patienten umgehen.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat eine aktualisierte Orientierungshilfe zur E-Mail-Verschlüsselung veröffentlicht.

In dieser zeigt die DSK die grundlegenden technischen Anforderungen an die Erbringung von E-Mail-Diensten auf. Des Weiteren wird erläutert, was zu beachten ist, um die Sorgfaltspflicht bei der Inanspruchnahme von E-Mail-Diensteanbietern einzuhalten. So müssen zum Schutz der personenbezogenen Daten beispielsweise öffentliche E-Mail-Diensteanbieter die Anforderungen der Richtlinie TR 03108-1 des BSI einhalten. Welche weiteren Anforderungen beim Versand und bei der Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Diensteanbieter auf dem Transportweg zu erfüllen sind, wird in der Orientierungshilfe konkret beschrieben.

Um festlegen zu können, welche Maßnahmen zum Schutz der personenbezogenen Daten geeignet sind, sieht die Datenschutzkonferenz zunächst vor, dass das Risiko für den Betroffenen in Bezug auf die jeweiligen Daten einzuordnen ist. Die Datenschutzkonferenz hält fest, dass die Verantwortung für den einzelnen Übermittlungsvorgang bei dem Sender liegt. Wer jedoch gezielt personenbezogene Daten per E-Mail entgegennehme, sei verpflichtet, die Voraussetzungen für den sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu schaffen. Das bedeute, dass der Empfangsserver mindestens den Aufbau von TLS-Verbindungen ermöglichen müsse und hierbei ausschließlich die in der BSI-Richtlinie TR 02102-2 aufgeführten Algorithmen verwenden dürfe. Um den Aufbau verschlüsselter Verbindungen zu erleichtern, solle der Verantwortliche für Verschlüsselung und Authentifizierung ein möglichst breites Spektrum an qualifizierten Algorithmen anbieten.

Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen müsse der Verantwortliche sowohl eine qualifizierte Transportverschlüsselung sowie den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Der Empfänger sei dabei verpflichtet, eine derartige Kommunikation zu ermöglichen und bestehende Signaturen qualifiziert zu prüfen.

Die Orientierungshilfe mit den Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung von E-Mails mit den konkreten Informationen finden Sie hier.

In unserem Beitrag „Impfstatus – wer darf ihn erfragen?“ haben wir uns der Frage gewidmet, ob ein Arbeitgeber den Impfstatus seiner Mitarbeiter erfragen darf. Diesbezüglich hatten wir auf die Vorgaben des § 23a Infektionsschutzgesetz verwiesen. Dieser sah zu diesem Zeitpunkt noch vor, dass die Abfrage des Impfstatus nur in Krankenhäusern und Arztpraxen erfolgen darf.

Mittlerweile hat der Gesetzgeber weitere Regelungen ins Infektionsschutzgesetz eingefügt und die Berechtigungen zur Abfrage des Impfstatus für Arbeitgeber erweitert. Dazu wurde Anfang September 2021 im Bundestag die Änderung des Infektionsschutzgesetzes beschlossen.

Das bedeutet, es dürfen nun auch

Kindertageseinrichtungen, Kinderhorte und die Kindertagespflege,
Schulen,
Heime und
Ferienlager

den Impfstatus ihrer Mitarbeiter erfragen.

Zu beachten ist jedoch, dass den Arbeitgebern dadurch kein allgemeines Recht zur Abfrage des Impfstatus eingeräumt wird. Die Regelungen beziehen sich ausschließlich auf die Abfrage über den Impf- und Serostatus in Bezug auf Covid-19.

Befristet ist das neu geschaffene Fragerecht für Arbeitgeber bis zum Ende der epidemischen Lage.

Über die weitere Entwicklung werden wir Sie selbstverständlich weiterhin auf dem Laufenden halten.

Update (19.10.2021): Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen Beschluss veröffentlicht, der Hinweise zur datenschutzkonformen Verarbeitungen des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber gibt.

Die DSGVO setzt voraus, dass personenbezogene Daten mittels sicherer und damit geeigneter Verfahren, wie z.B. die Post oder Ende-zu-Ende verschlüsselter E-Mails, versandt werden. Aber wie sieht es mit der Sicherheit von Faxgeräten aus?

Die Übertragung erfolgt mittlerweile zum größten Teil über internetbasierte Datenverbindungen. Die Anbieter von Faxgeräten unterliegen dem Telekommunikationsgesetz und daher der Registrierung bei der Bundesnetzagentur und deren Aufsicht und Sicherheitsanforderungen.

Hessischer Beauftragte für Datenschutz und Informationsfreiheit sieht Faxversand als unsicheres Kommunikationsmittel

Kürzlich hat sich die hessische Aufsichtsbehörde in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit Alexander Roßnagel der Meinung der Aufsichtsbehörde in Bremen an. Aufgrund der Digitalisierung der Faxübertragung und der Endgeräte könne nicht gewährleistet sein, dass die Daten nicht von Unbefugten abgefangen werden. Die Übertragung sei hinsichtlich der Sicherheit gleichzustellen wie eine unverschlüsselte E-Mail. Daher sei sie „mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet“.

Es wird seitens der Aufsichtsbehörde daher empfohlen, Faxgeräte zur Übermittlung von personenbezogenen Daten nur in Ausnahmefällen (und auch dann nur unter Einsatz zusätzlicher Schutzmaßnahmen sowohl beim Versender als auch Empfänger) zu nutzen. Besonders sensible Daten sollten gar nicht per Fax übermittelt werden.

Die Stellungnahme der hessischen Aufsichtsbehörde mit alternativen Vorschlägen zur Übermittlung personenbezogener Daten finden Sie hier.

Welche Sicherheitsanforderungen sind gefordert?

Die Bundesnetzagentur hat in Zusammenarbeit mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen Sicherheitskatalog veröffentlicht. In Anlage 1 des Sicherheitskatalogs werden die Anforderungen an TK-Diensteanbieter mit IP-Infrastruktur thematisiert. Mehr Informationen und entsprechende Erklärungen zu den Sicherheitsanforderungen finden Sie hier.

Sollen personenbezogene Daten in Länder außerhalb der EU oder des EWR übermittelt werden (beispielsweise aufgrund des Einsatzes von Auftragsverarbeitern oder Unterauftragsverarbeitern), sind bekanntlich strengere Datenschutzregelungen zu beachten. Durch den Brexit galt Großbritannien kurzfristig als unsicheres Drittland. Im Juni 2021 wurde dann jedoch der Erlass des Angemessenheitsbeschlusses durch die Europäische Kommission für das Vereinigte Königreich verkündet. Das bedeutet, Großbritannien gilt (zumindest zunächst für die nächsten vier Jahre) als sicheres Drittland. Über den Angemessenheitsbeschluss berichteten wir in unserem Blogbeitrag „Angemessenheitsbeschluss Großbritannien“.

Das wiederum könnte sich nun wieder ändern. Denn Großbritannien plant ein eigenständiges Datenschutzrecht. Und dieses entspricht in einigen der bisher bekannten Teilen nicht den Anforderungen der DSGVO. Ein Sprecher der EU-Kommission deutete bereits an, dass der erteilte Angemessenheitsbeschluss theoretisch auch jeder Zeit wieder zurückgezogen werden könne. Er betonte zudem, dass die Kommission bei einer Dringlichkeit hiervor nicht zurückschrecken werde. Diese Dringlichkeit könnte in diesem konkreten Fall eintreten.

Für europäische Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, würde der Entzug des Angemessenheitsbeschlusses bedeuten, dass das Land wieder als unsicheres Drittland einzustufen wäre. Die Situation wäre die gleiche, wie die kurz nach dem Brexit. Was das für Datentransfers nach Großbritannien bedeuten würde, berichteten wir bereits in unserem Blogbeitrag „Update Brexit: Datenübermittlung in das Vereinigte Königreich“: Es würden die gleichen Hürden auferlegt werden wie beispielsweise bei einem Datentransfer in die USA. Es empfiehlt sich daher, die Entwicklungen in Großbritannien weiter zu beobachten.

Anfang August 2021 wurde bekannt, dass die österreichische Aufsichtsbehörde ein Bußgeld in Höhe von 2 Millionen Euro gegen die jö Bonus Club GmbH erlassen hat. Bei der jö Bonus Club GmbH handelt es sich um ein österreichisches Kundenbindungsprogramm. Hier können sich Kunden registrieren und bei mitmachenden Märkten Prämien sammeln oder Aktionscoupons erstehen.

Wie ist es zu dem Bußgeld gekommen? Die jö Bonus Club GmbH möchte über ihre Kunden ein möglichst genaues Profil erstellen. Dafür möchte sie, dass die Kunden in das „Profiling“ einwilligen, so dass sie individualisierte und stimmige Werbung bekommen. Die Umsetzung dieser Idee ließ laut der österreichischen Aufsichtsbehörde zu wünschen übrig. Die Einwilligungen auf der Homepage und auch im gedruckten Flyer erweckten den Eindruck, dass allein in den Eintritt des Clubs eingewilligt wird. Die Nutzer wurden über das Profilig nicht ausreichend bzw. gar nicht informiert. Die Aufsichtsbehörde sieht im Profiling ein großes Risiko für die betroffenen Personen. Es werden Verhaltensweisen ausgewertet und komplette Profile der Personen erstellt. Auf diesen Missstand in den Einwilligungen ist der Bonus Club bereits vorab durch die Aufsichtsbehörde hingewiesen worden und verbesserte das Einwilligungsmanagement.

Nach der Nachbesserung wurden dennoch 2,3 Millionen Kundendaten auf Grundlage der fehlerhaften Einwilligung weiterhin verarbeitet. Es gab allerdings keine Rechtsgrundlage, die diese Verarbeitung gerechtfertigt hat. Daher hätte eine weitere Nutzung der Daten nicht geschehen dürfen. Die betroffenen Personen hätten informiert werden müssen und es hätten neue rechtmäßige Einwilligungen eingeholt werden müssen. Daher wurde dem Club ein Bußgeld von 2 Millionen Euro auferlegt. Bei der Summe wurde die Corona-Krise sowie die schlechten Umsatzzahlen berücksichtigt. Die jö Bonus Club GmbH wird gegen den Bescheid Einspruch einlegen.

Auch wenn die Themenvielfalt im Datenschutz weitgefächert ist, stoßen wir immer wieder auf ein bestimmtes Thema: Cookie- bzw. Consent-Banner.

Mit Hilfe eines Cookie-Banners soll die Einwilligung der Webseitenbesucher zur Nutzung unterschiedlicher Cookies, z.B. Tracking für Werbezwecke, eingeholt werden. Problematisch ist die rechtskonforme Gestaltung dieser Einwilligungen.

Teilweise fehlen z.B. transparente Informationen zu den eingesetzten Cookies, teilweise besteht nur die Möglichkeit der Annahme durch klicken auf einen einzelnen „okay“ Button und teilweise wird der Nutzer durch bestimmte farbliche Gestaltungen genötigt in die Cookie Nutzung einzuwilligen. Zudem ist es meistens nicht möglich die Einwilligung so einfach zu widerrufen, wie die Erteilung einer solchen erfolgt. Dies wird seitens der Datenschutzgrundverordnung (DSGVO) allerdings gefordert.

Nicht nur der ein oder andere Webseitenbesucher ärgert sich über den fehlerhaften Einsatz dieser Banner, sondern auch Datenschutzaufsichtsbehörden und Max Schrems von dem österreichischen Verein Non of your business (NOYB). Im Frühjahr 2021 begann NOYB damit, automatische Scans von Webseiten auf Fehlerhaftigkeit von Cookie-Bannern durchzuführen. Angedacht ist ein Scan von 10.000 Seiten. Am 31. Mai 2021 hat der Verein NOYB erstmals 500 Unternehmen aufgefordert ihre Cookie-Banner an die geltenden rechtlichen Anforderungen anzupassen. Einige Unternehmen reagierten zügig und passten ihre Cookie-Banner an. Andere Unternehmen reagierten nicht. Daher hat NOYB gegen 422 Unternehmen Beschwerden bei 10 verschiedenen Aufsichtsbehörden eingereicht und hofft auf wegweisende Entscheidungen. Einige europäische Aufsichtsbehörden (u.a. die französische CNIL und die italienische Garante) beschäftigen sich auch mit dem Thema des datenschutzgerechten Cookie-Banners. Im Fokus befindet sich dabei die Problematik, dass eine Einwilligung jederzeit leicht widerrufbar sein muss. In Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit fehlerhaften Cookie-Bannern den Kampf angesagt. Es wurden 50 Unternehmen postalisch aufgefordert ihre Cookie-Banner in Einklang mit den geltenden Datenschutzrecht zu bringen.

Sollten Sie Interesse an der Einführung bzw. Nutzung eines plausiblen Cookie-Banners haben, empfehlen wir Ihnen unseren Blogbeitrag „Eine Webseite ohne Cookie-Banner?“ für weiterführende Informationen zu lesen. Auch die Landesbeauftragte für den Datenschutz Niedersachsen hat auf ihrer Webseite Hinweise zur Erstellung eines Cookie-Banners erstellt. Für Fragen oder Anregungen freuen wir uns auf Ihren Anruf.

Die Irische Aufsichtsbehörde (Data Protection Commission (DPC)) erinnert in einer Orientierungshilfe („General Portable StorageDevice Recommendations“) daran, dass der Datenschutz bei portablen Speichermedien, wie z.B. USB-Stick, Laptop, Smartphone u.ä. nicht endet. Vielmehr müssen die Daten auf diesen Geräten sicher verwahrt und vor Missbrauch geschützt werden. Die irische Aufsichtsbehörde listet zusammengefasst folgende Hinweise auf:

Keine Nutzung privater Speichermedien am Arbeitsplatz und umgekehrt keine Verwendung dienstlicher Speichermedien in privaten Geräten.
Nutzung verschlüsselter Speichermedien (z.B. Passwort) und Ausgabe der Geräte durch eine zentrale Stelle im Unternehmen.
Die Unternehmen sollten eine Bestandsliste der Speichermedien führen und vermerken an welche Person das Medium ausgegeben worden ist. Es sollte eine Rückgabe der tragbaren Speichermedien beim Ausscheiden des Mitarbeiters aus dem Unternehmen erfolgen.
Um Datenschutzverletzungen vorzugreifen, sollten die Berechtigungen derart vergeben werden, dass Mitarbeiter selbständig keine Daten auf portable Speichermedien ziehen können. Dies sollte autorisierten Personen vorbehalten sein.
Die tragbaren Speichermedien sollten passwortgeschützt sein. Ein Passwort sollte dabei aus mindestens zwölf Zeichen bestehen. Dabei sind Groß- und Kleinschreibung, Sonderzeichen, Zahlen und Satzzeichen zu nutzen.
Bei Nutzung eines USB-Sticks sollte sichergestellt sein, dass jeder USB-Stick vor der Nutzung durch einen Automatismus überprüft wird, so dass keine Malware auf den Rechner kommt.
Es sollte für alle Daten, die auf einem tragbaren Speichermedium abgelegt werden, ein Backup geben.
Die Daten sollten keinen langen Zeitraum gespeichert werden. Nach Zweckerfüllung sollten die Daten umgehend gelöscht werden. Nach Möglichkeit sollten die Daten mit einem „Ablaufdatum“ versehen werden, so dass sie nach einer gewissen Zeit nicht mehr genutzt werden können.
Die Speichermedien sollten über ein Fernverwaltungsprogramm eine Ferndeaktivierungs- oder Fernlöschfunktion unterstützen.
Bei Verlust eines tragbaren Speichermediums sollte es möglich sein, nachzuvollziehen, welche Daten sich auf dem Speichermedium befanden und es sollte überprüft werden können, ob Daten verschwunden sind.
Nicht eingesetzte tragbare Speichermedien sollten nicht unbeaufsichtigt gelassen, sondern verschlossen aufbewahrt werden. Auch während der Nutzung gilt, diese sollten nicht unbeaufsichtigt sein und immer unter Kontrolle der autorisierten Person sein.
Die USB-Speichermedien sollten regemäßig auf ihre Inhalte geprüft werden. Es dürfen nur die vereinbarten Daten gespeichert werden.
Es sollten nur Geräte von seriösen und anerkannten Herstellern und Wiederverkäufern verwendet werden.

Die Nutzer der tragbaren Speichermedien sollten entsprechend sensibilisiert werden.

Das Thema „Impfen“ hat durch den Pandemieverlauf eine ganz neue Popularität und Stellenwert erlangt. Die gesamte Welt impft gegen eine Krankheit und das im identischen Zeitraum. Hierzulande spielt bei den Maßnahmen rund um Corona auch der Datenschutz eine gewisse Rolle. Unter anderem stellt sich die Frage, darf der Arbeitgeber den Impfstatus seiner Mitarbeiter abfragen? Darf dieser dokumentiert werden?

Bei der Beantwortung dieser Fragen muss berücksichtigt werden, dass der Impfstatus ein sog. Gesundheitsdatum darstellt. Dieses darf nur verarbeitet werden, wenn eine Rechtsgrundlage aus dem Art. 9 Abs. 2 DSGVO greift. Ferner sind die Besonderheiten im Beschäftigtenkontext zu berücksichtigen. Daher lässt sich vorliegend die Verarbeitung des Impfstatus nicht ohne Weiteres auf die Einwilligung stützen. Die Freiwilligkeit ist aufgrund des Über-/Unterordnungsverhältnisses im Arbeitsverhältnis nicht gegeben. Sollte in den Landesverordnungen zum Schutz vor Corona keine Regelungen getroffen worden sein, darf der Arbeitgeber den Impfstatus nicht abfragen. In den Verordnungen von Nordrhein-Westfalen und Sachsen werden die Arbeitnehmer verpflichtet bei einer mindestens fünftägigen Abwesenheit einen negativen Corona Nachweis vorzulegen, den Impfstatus bekannt zu geben oder vor Ort einen Test unter Beobachtung durchzuführen. Die Arbeitgeber dürfen die personenbezogenen Daten nicht dokumentieren. Sie müssen nachhalten, dass es einen Kontrollprozess gibt und diesen darlegen können. Auch die weiteren Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO greifen nicht.

Erlaubt ist eine Abfrage des Impfstatus nur für einige wenige Arbeitgeber gem. § 23 a Infektionsschutzgesetz. Diese sind abschließend in § 23 Abs. 3 Infektionsschutzgesetz aufgeführt. Es handelt sich u.a. um Krankenhäuser und Arztpraxen.

Ein aktuelles Thema, bei dem es sich sicherlich lohnt, die weitere Entwicklung abzuwarten. Wir halten Sie diesbezüglich auf dem Laufenden.

Aktuelles

Links